Отключение фильтрации протоколов tls и ssl в windows 10

Обновлено: 04.07.2024

Набор серверов и сетевых служб IIS (Internet Information Services) от Microsoft, как известно, использует для защиты соединения между сервером и клиентом различные криптографические протоколы, такие как SSL, TLS и PCT. Самым актуальным из них является TLS. В этой статье разберём, как отключить ненужные нам протоколы в IIS.

Как должно быть понятно из названия, смысл криптографических протоколов в повышении защиты передаваемой информации от перехвата. В криптографических протоколах время от времени находят уязвимости, это приводит к разработке новых стандартов этих самых протоколов. К сожалению, моментально перейти на новый протокол нельзя из-за соображений обратной совместимости. Тем не менее, разработчики ПО постепенно внедряют в свои творения поддержку новых протоколов. Таким образом, иногда целесообразно отключать старые протоколы, если они уже не используются.

В операционных системах семейства Windows управление поддержкой протоколов PCT/SSL/TLS осуществляется на уровне реестра. Нас интересует ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. В ней вы можете увидеть следующие подразделы:

  • PCT 1.0;
  • SSL 2.0;
  • SSL 3.0;
  • TLS 1.0.

Наличие или отсутствие подразделов зависит от версии операционной системы. Отсутствующие подразделы и параметры в них можно добавить.

Подразделы с именами протоколов, в свою очередь, содержат подразделы Client и Server с настройками, как ни странно, клиента и сервера.

В настройках клиента и сервера можно прописать параметры DisabledByDefault (выключен по умолчанию) и Enable (включен), которые и отвечают за использование криптографических протоколов. Тип параметров DWORD (32 бита), значения, которые они могут принимать: 0 и 1.

Отключение PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS в Windows

Настройки протокола SSL 2.0 в Windows.

Немного о значениях:

Параметр Значение Описание
DisabledByDefault 0 Включен по умолчанию
1 Выключен по умолчанию
Enable 0 Выключен
1 Включен

Похожим образом можно включить поддержку более новых криптографических протоколов. Например, в Windows 7 и Windows Server 2008 R2, которые всё ещё весьма распространены, по умолчанию отключены протоколы TLS 1.1 и TLS 1.2. Для их включения нужно создать одноимённые подразделы в реестре с соответствующими настройками.

Отключение PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS в Windows

Включаем по умолчанию TLS 1.2 в Windows 7.

Для применения параметров нужно перезагрузить систему.

Напоследок отметим, что выставленные параметры применяются только для ПО, которое использует системные API. Если программа имеет собственные средства криптографии, то её нужно настраивать отдельно.

Что нового в TLS 1.3?

TLS 1.3 нацелен на то, чтобы меньше информации о пользователях было доступно в виде простого текста. Для этого в более ранней версии TLS используются три набора шифров. Проверка подлинности клиента раскрывает личность клиента, если не было проведено повторное согласование. В TLS 1.3 это всегда конфиденциально. Приложения и сервер должны будут приступить к реализации и соблюдению нового протокола безопасности, но на данный момент он не находится в строгом режиме. Если браузер поддерживает его, но не веб-сайт, он вернется к следующей доступной версии TLS.

Включение или отключение TLS 1.3 в Windows 10

  • Включение TLS в устаревших версиях Microsoft Edge
  • Включить TLS в Microsoft Edge (Chromium)
  • Включите TLS 1.3 в браузере Chrome
  • Включите TLS 1. 3 в Firefox

После включения настроек необходимо перезапустить браузер, чтобы TLS 1.3 вступил в силу. Имейте в виду, что эта функция все еще внедряется во всех браузерах и может появиться в вашем браузере с некоторым опозданием.

1]Включить TLS в Microsoft Edge Legacy

Как включить или отключить TLS 1.3 в Windows 10

  • Введите inetcpl.cpl в командной строке (Win + R) и нажмите клавишу Enter.
  • Откроется окно свойств Интернета. Перейдите в раздел Advanced
  • В разделе безопасности установите флажок TLS 1.3.
  • Перезапустите браузер

2]Включить TLS в Microsoft Edge (Chromium)

Включить TLS 1-3 Edge Chromium

Эта версия Edge построена на Chromium Engine, который не использует стек Windows TLS. Вам нужно будет настроить их самостоятельно, используя диалог edge: // flags.

  • На новой вкладке в Edge введите edge: // flags
  • Найдите TLS 1.3 и включите настройки

Помните, что он все еще находится на экспериментальной стадии, поскольку сначала он развертывается с Windows 10 Insider, а затем он будет в более широком формате. Поэтому, если вы не хотите его использовать, вы можете использовать другие браузеры, которые используют их стек TLS 1.3.

3]Включите TLS 1.3 в браузере Chrome

TLS 1.3 в Chrome

Поскольку Chrome и Edge используют движок Chromium, вы можете включить или изменить настройку таким же образом с помощью флагов Chrome.

  • Введите chrome: // flags на новой вкладке Edge и нажмите клавишу Enter.
  • Найдите TLS 1.3 и включите настройки

Вы заметите, что настройки по умолчанию включены для Chrome. Нечто подобное со временем произойдет со всеми браузерами.

4]Включите TLS 1.3 в Firefox

TLS1.3 Версия Firefox

  • Запустите Firefox и введите about: config а затем нажмите клавишу ввода в новой вкладке.
  • Откроется область конфигурации с полем поиска.
  • Найдите безопасность.tls.version.max флаг и дважды щелкните, чтобы изменить значение
  • Измените значение с 3 на 4.
  • Перезагрузите браузер Firefox.

Я надеюсь, что за публикацией было легко следить, и если вы планируете использовать TLS, вы можете включить его в Windows и во всех поддерживаемых браузерах. Если вы хотите отключить, измените значение на три.

Как проверить, правильно ли включен TLS 1.3?

Как проверить, правильно ли включен TLS 1.3?

Вы можете использовать Проверка безопасности просмотра Cloudflare чтобы узнать, включен ли TLS 1.3 по умолчанию.

Оказавшись на странице, нажмите кнопку «Проверить мой браузер», и откроется такая информация, как Secure DNS, DNSSEC, TLS 1.3 и Encrypted SNI.


TLS (Transport Layer Security) 1.0 является устаревшим криптографическим протоколом, который в настоящее время заменен TLS 1.2 и будущим TLS 1.3. Лишь небольшое количество веб-сайтов продолжают использовать TLS 1.0. В 2018 году Microsoft объявила, что прекратит выпуск TLS 1.0 в течение 2020 года. В своем блоге MS старший премьер-министр Microsoft заявил:

Два десятилетия — это долгое время, чтобы технология безопасности оставалась неизменной. Хотя мы не знаем о существенных уязвимостях в наших современных реализациях TLS 1.0 и TLS 1.1, уязвимые сторонние реализации существуют. Переход на более новые версии помогает обеспечить более безопасную сеть для всех.

Итак, TLS 1.0 больше не очень хорош. Хотя Microsoft прекратит его, некоторые пользователи могут предпочесть отключить TLS 1.0 раньше, чем позже. Вот как пользователи могут отключить TLS 1.0 в Windows.

Как пользователи могут отключить TLS 1.0?

1. Снимите флажок Использовать опцию TLS 1.0

2. Отредактируйте реестр, чтобы отключить TLS 1.0.

  1. Пользователи также могут редактировать реестр, чтобы отключить TLS 1.0. Для этого запустите аксессуар «Запуск» с помощью сочетания клавиш Windows + R.
  2. Введите ‘regedit’ в Run, чтобы открыть редактор реестра .
  3. Затем откройте этот путь к ключу реестра в редакторе реестра:
    • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols
  4. Если пользователи не могут видеть подразделы TLS 1.0 и Client, они должны их создать. Щелкните правой кнопкой мыши Protocols, выберите New > Key , а затем введите «TLS 1.0» в качестве заголовка ключа.
  5. Затем щелкните правой кнопкой мыши TLS 1.0, выберите параметры New & Key и введите «Client» в качестве заголовка для второго подраздела.
  6. После этого выберите ключ клиента; и щелкните правой кнопкой мыши пустое место справа от редактора реестра, чтобы выбрать « Создать» > « Значение DWORD (32-разрядное)» .
  7. Введите «Включено» в качестве заголовка нового DWORD.
  8. Значение по умолчанию для Enabled DWORD равно 0, что отключает TLS 1.0. Пользователи могут дважды щелкнуть «Включено», чтобы изменить его значение с 0 (TLS 1.0 выключен) или 1 (TLS 1.0 включен).
  9. После этого закройте редактор реестра и перезапустите Windows.

Таким образом, есть несколько способов, которыми пользователи могут отключить TLS 1.0 в Windows. Отключение TLS 1.0, вероятно, окажет очень небольшое влияние на просмотр, поскольку 94 процента веб-сайтов теперь поддерживают TLS 1.2.

date

13.11.2018

directory

Вопросы и ответы

comments

комментариев 25

Chrome - Этот сайт не может обеспечить безопасное соединение. Сайт sitename.ru отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR

На сайте sitename.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH

В Opera и Яндекс Браузер ошибка выглядит примерно также. Как мне открыть такие сайты?

Ответ

Очистите кэш и куки браузера, SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Очистиь кэш и куки chrome

Чтобы очистить SSL кэш в Windows:

Очистить SSL кэш Windows

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу chrome://extensions/. Отключите все подозрительные расширения.

Отключите расширения Chrome

Проверьте настройки антивируса и файрвола

Проверьте настройки даты и времени

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности, в случае с Windows 7 – обязательно установить SP1 (KB976932) и обновления часовых поясов (KB2998527).

Отключите поддержку протокола QUIC

Experimental QUIC protocol - отключить в chrome

Включите поддержку протоколов TLS и SSL

И самый последний пункт – скорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения.

Чтобы включить старые версии протоколов SSL/TLS (еще раз отмечаю – это небезопасно):

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

    1. Проверить, что в файле C:\Windows\System32\drivers\etc\hosts отсутствуют статические записи;
    2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
    3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.
    4. Возможно проблема связана с сертификатом сайта – проверьте его с помощью онлайн утилит SSL Checker;
    5. В Chrome проверьте, включен ли протокол TLS 1.3:
      • В адресной строке перейдите в раздел настроек chrome://flags;
      • С помощью поиска найдите параметр TLS 1.3;
      • Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить.

    Читайте также: